如果用户以硬件路由器（或FireWall)为出口上Internet，为实现“通过一台机器监控整个网络”的目的,通常采用下面几种手段：

　　1.在网关处添加共享式HUB（集线器），Internet出口网络线和监控机网络线均接入HUB。

　　2.在主交换机网口上设置镜像端口（一个镜像端口，一个被镜像端口)；监控机网络线接入镜像端口。

　　上面实现的监控就是所谓的“旁路监控”。

　　打个更形象的比喻：交警为监视公路上汽车行驶状况，为不影响交通，仅在路边配置一台监控设备，同步监视路上的每辆车，并不需要在路中间设卡检查车辆，这种方式相当与“旁路监控”。如果设卡监控，那就应该属于“非旁路监控”

优点：
　　对网速影响甚小,如果不考虑封堵，可实现电信级的网络监视；所以网络流量庞大且封包需求很少时，必须采用该监控方式。

缺点：
　　1、封堵TCP连接时采用发送带RST标记的IP包，以破坏TCP连接；系统控制不好的话，则可能导致发送的封包太多，影响网络。
　　2、不能封堵UDP通讯包。
　　3、如果监控机处理速度慢，而流量太大，则可能导致分析包丢失。

非旁路监控(拦截式)

　　对“网路岗五代 6.0版或更高”而言，下面情况均属于“非旁路监控”： 

　　1、客户机通过“代理服务器软件”实现共享上网，而“网路岗”就安装在该代理服务器上。常见的代理服务器软件包括：Sygate/WinGate/MS ISA/MS Proxy/CCProxy/WinRoute 等等。

　　2、用户启用“网络邻居”--“网卡属性”中“Internet共享上网”选项，“网路岗”安装在该机器上，绑定内网卡进行监控。

　　3、系统启用“软路由”/“网桥”等功能，“网路岗”安装在该机器上；启用该设置的前提条件是本系统有双网卡。

　　4、启用网路岗共享上网NAT。

　　5、启用网路岗“虚拟网卡”功能。

　　总之，只要客户机需经由某台电脑上网，则都属于“非旁路监控”。

　　这里特别需要说明的是：以前版本的“网路岗”产品，针对上述各情况，均采用“旁路监控”的技术,正如目前市面上决大多数产品一样；但较新版本的“网路岗”针对上述上网方式，则采用了“旁路监视、拦截过滤”的技术手段，既尽可能少影响网络速度，又能完全封堵UDP通讯包，是一种近乎完美的监控方式。

　　“基于帐户”的监控也因此更加可靠。

　　防火墙产品是单纯采用“拦截式”技术的典型网络产品，所有进出FireWall数据包，都必须经过筛选，符合过滤过滤条件的数据包，将被抛弃。
　　因此，防火墙的处理器性能和筛选规则的复杂程度，将直接影响到防火墙对数据包的处理速度，进而影响到网络速度。

基于网卡、基于帐户、基于IP

　　所有的网络监控产品，都必须面对这个问题：在对具体电脑进行监控时，以什么信息来判断所捕获的数据包是由哪台机器发出的？

　　“网路岗”提供了多种选项给客户选择，当用户网络是单网段，也就是说没有划分不同的IP段，我们建议客户选用“基于网卡”的方式，也就是说以“网卡地址MAC”来作为判断数据包的依据。
　　相对IP地址来讲，网卡地址一般是不会改变的，而且是全球唯一的。针对单一网段内机器而言，网卡地址是网络寻址的重要依据，一旦网卡地址重复或不确定，必然造成网络通讯的紊乱或不稳定。

　　针对多网段（划分VLAN）的情况，情况比较复杂，当数据包从某个VLAN转到其他VLAN时候，数据包中的网卡地址会发生改变，所以，我们捕获的网卡地址是发生变化了的，这时，如果系统对该MAC不加处理而简单使用，必然导致监控错乱。
　　但是，这种情况，“网路岗”已经充分考虑了其应对策略，我们的客户依然可以选择“基于网卡”的方式，正如单一网段环境一样。

　　当然，如果客户网络庞大，IP地址相对固定，从操作的简单性方面考虑，选择“基于IP”地址来监控也是可以的，用户也必须容忍IP地址是经常变化的。 如果客户对某个范围IP的电脑行为感兴趣，那么用户也可以以“自定义的IP范围”作为一个监控对象来对待。

　　最后，我们要谈谈“基于帐户”。当客户机通过浏览器上网时候，会出现一个输入用户名和密码的画面，此时，只有当客户拥有了自己的用户名和密码，才拥有了上网的权限，这就是“基于帐户”模式的具体表现。

　　“基于帐户”的方式从理论上讲，是完美的，因为该方式下，与被监控电脑的网卡地址和IP地址均无关系，而只需要根据用户帐号来判断监控对象。但其缺点也非常明显，因为客户机每次上网时候，都必须输入帐号及其对应的密码，给客户机上网带来麻烦，而且因为密码容易被忘记，网络管理员还不得不经常为客户机Reset密码。 从目前客户的使用情况来看，“基于帐户”在“宾馆客房”上网方面似乎是非常好的方案。

网桥

　　先解释一下通常意义下的“网桥”概念。

　　网桥工作在数据链路层，将两个局域网（LAN）连起来，根据MAC地址（物理地址）来转发帧，可以看作一个“低层的路由器”（路由器工作在网络层，根据网络地址如IP地址进行转发）。它可以有效地联接两个LAN，使本地通信限制在本网段内，并转发相应的信号至另一网段，网桥通常用于联接数量不多的、同一类型的网段。

　　网桥通常有透明网桥和源路由选择网桥两大类。

　　1、透明网桥
　　简单的讲，使用这种网桥，不需要改动硬件和软件，无需设置地址开关，无需装入路由表或参数。只须插入电缆就可以，现有LAN的运行完全不受网桥的任何影响。

　　2、源路由选择网桥
　　源路由选择的核心思想是假定每个帧的发送者都知道接收者是否在同一局域网（LAN）上。当发送一帧到另外的网段时，源机器将目的地址的高位设置成1作为标记。另外，它还在帧头加进此帧应走的实际路径。

　　下面图示的是在WinXP系统下创建“网桥”：

同时选中两块网卡，点Mouse右键，会弹出上图中的菜单。

　　网桥一旦建立完成，其网卡原配的IP地址将消失，网内其他机器无法通过原来的两块网卡的IP地址来访问该机器。是不是该机器作废了？ 不是，用户仍然可以在上面显示的“网络桥”上配置另外的IP。

　　透明网桥示意图：

左右两边的机器可以相互访问，不用做任何额外的配置，就象两台交换机之间接入新的交换机设备一样。

虚拟网桥

　　“虚拟网桥”实际上是“网路岗”为一种“网络监控技术”而命名的一个技术名词。和实际“网桥”概念完全不同，仅仅因为其通讯过程类似“网桥”罢了。

　　通常意义上的“网桥”一般需要两块网卡来实现， 而这里所谓的“虚拟网桥”只需要一块网卡。

　　下面的网络结构是非常常见的：

机器：192.168.0.2发出的Internet数据包，直接发向网关192.168.0.1

　　以下是“网路岗”启用“虚拟网桥”功能后，数据包走向图：

　　当“网路岗”主机启用“虚拟网桥”功能后，从客户机192.168.0.2发向Internet的数据包，先送到“网路岗”主机，然后由“网路岗”主机转发到网关192.168.0.1，反之亦然。

　　不难看出，要达到一台机器监控整个网络的目的，只需要启用“虚拟网桥”功能就可以了，这种监控技术可以在纯交换机环境下实现，不需要添加HUB，也不需要设置镜像端口。行话称之为“装在任何一台电脑上就可以监控整个网络”。

　　而实际使用中，该技术的缺点非常明显，虽然“网路岗”已经加入该技术，但有必要向客户交代其中问题所在。

缺点1：客户机盲目安装.

　　既然装在任何一台电脑就可以实现对整个网络的监控，员工或学生是否会随意下载、随意安装、随意监控？这是完全可能的，因为毕竟实现监控的门槛太低。不过，当同时多台机器启用这类监控方式后，网络会出现紊乱状况，很可能导致无法上网。

缺点2：很容易逃避监控

　　所有采用类似监控技术的产品，均需要发送ARP欺骗包，以使正常上网路径发生改变。但是象瑞星等杀毒软件可以识别并抛弃ARP欺骗包，使对本机的监控不能得逞。另外用户也可以通过添加静态路由轻松避免被监控。

　　因此，在单网段环境下，我们建议客户仍然采用传统的“监控手段”。如果客户执意采用该监控手段，那么请注意：“网路岗”可以自动探测出网内其他机器是否启用过类似的监控手段(也许是其他监控产品)，并记录在历史记录中。

如何启用“虚拟网桥”？

1、选中“非旁路监控”选项

2、设置“虚拟网桥”相关选项

3、选中并启用“虚拟网桥”

共享上网NAT

　　“网络地址转换”(NAT) 是一种 Internet Engineering Task Force (IETF) 标准，用于允许专用网络上的多台 PC 机（使用专用地址范围，例如 10.0.x.x、192.168.x.x、172.x.x.x）共享单个、可全局路由的 IPv4 地址。经常部署 NAT 的一个主要原因就是 IPv4 地址日渐紧缺。Windows XP 和 Windows Me 中的“Internet 连接共享”及许多 Internet 网关设备都使用 NAT，尤其是在通过 DSL 或电缆调制解调器连接宽带网的情况下。

　　NAT 对于解决 IPv4 地址耗费问题（在 IPv6 部署中却没必要）尽管成效及时，但毕竟属于临时性的解决方案。这种 IPv4 地址耗费问题在亚洲及世界其它一些地方已比较严重，且日渐成为北美地区需要关注的问题。这就是人们为什么长久以来一直关注使用 IPv6 来克服这个问题的原因所在。

　　除了减少所需的 IPv4 地址外，由于专用网络之外的所有主机都通过一个共享的 IP 地址来监控通讯，因此 NAT 还为专用网络提供了一个隐匿层。NAT 与防火墙或代理服务器不同，但它确实有利于安全。

跨VLAN/单网段/多网段

　　VLAN，是英文Virtual Local Area Network的缩写，中文名为"虚拟局域网"， VLAN是一种将局域网（LAN）设备从逻辑上划分（注意，不是从物理上划分）成一个个网段（或者说是更小的局域网LAN），从而实现虚拟工作组（单元）的数据交换技术。

　　VLAN这一新兴技术主要应用于交换机和路由器中，但目前主流应用还是在交换机之中。不过不是所有交换机都具有此功能，只有三层以上交换机才具有此功能，这一点可以查看相应交换机的说明书即可得知。
　　
　　VLAN在交换机上的实现方法，可以大致划分为六类:

　　1. 基于端口的VLAN（最常应用的一种VLAN划分方法)
　　2. 基于MAC地址的VLAN
　　3. 基于网络层协议的VLAN
　　4. 根据IP组播的VLAN 
　　5. 按策略划分的VLAN
　　6. 按用户定义、非用户授权划分的VLAN

　　在监控产品中，所谓“跨VLAN”监控就是所监控的客户机位于多个VLAN中。

　　单网段：整个局域网只有一个IP段，如：192.168.0.x (255.255.255.0)

　　多网段：整个局域网有多个不同IP段，如：192.168.1.x(255.255.255.0) / 192.168.2.x(255.255.255.0)

镜像端口/监控端口/被监控端口

　　在一些交换机中，我们可以通过对交换机的配置来实现将某个端口上的数据包，拷贝一份到另外一个端口上，这个过程就是“端口镜像”，如下图：

　　端口1 为镜像端口，端口2 为被镜像端口；因为通过端口1可以看到端口2的流量，所以，我们也称端口1为监控端口，而端口2为被监控端口。

　　市面上，绝大多数交换机（如cisco产品)的某个口被设置为镜像端口后，接到该端口的主机将无法发送数据包到网内其他机器，变成了“单向接受”模式；这类情况，并不利于监控，因为系统无发发送封包到客户机，而导致无法对客户机进行控制；不过“网路岗”针对此类情况有专门的解决手段，如碰到此类情况，用户可以咨询我公司技术人员。

　　不过仍然有部分交换机除外，比如：TPLink-SF2008 或TPLink-SF2008(web)，因为其价格便宜，功能实用，因此我们一般建议客户购买此款交换机进行监控。

汇聚MAC

　　在多VLan环境下，假如 Vlan-1最靠近因特网，通常情况下,其他 Vlan 的机器发出的数据包都需经过 Vlan-1 借道连入因特网，那么，其他Vlan下的机器发出的IP包经过这样的“路由”进入 Vlan-1 时，其数据包中原来的网卡地址通常会改变，改变后的地址就是我们这里提到的“汇聚MAC”。

　　建议用“工具”菜单下的“ip包分析工具”抓包，如发现某个MAC对应多个不同的内网IP,那么这个MAC就是我们要找的MAC值。

注意

对于 Windows 95 和 Windows 98 的客户机，请使用 winipcfg 命令而不是 ipconfig 命令。

使用带 /all 选项的 ipconfig 命令时，将给出所有接口的详细配置报告，包括任何已配置的串行端口。使用 ipconfig /all，可以将命令输出重定向到某个文件，并将输出粘贴到其他文档中。也可以用该输出确认网络上每台计算机的 TCP/IP 配置，或者进一步调查 TCP/IP 网络问题。

例如，如果计算机配置的 IP 地址与现有的 IP 地址重复，则子网掩码显示为 0.0.0.0。

下面的范例是 ipconfig /all 命令输出，该计算机配置成使用 DHCP 服务器动态配置TCP/IP，并使用 WINS 和 DNS 服务器解析名称。

Windows 2000 IP Configuration
Node Type.. . . . . . . . : Hybrid
IP Routing Enabled.. . . . : No
WINS Proxy Enabled.. . . . : No
Ethernet adapter Local Area Connection:
Host Name.. . . . . . . . : corp1.microsoft.com
DNS Servers . . . . . . . : 10.1.0.200
Description. . . . . . . : 3Com 3C90x Ethernet Adapter
Physical Address. . . . . : 00-60-08-3E-46-07
DHCP Enabled.. . . . . . . : Yes
Autoconfiguration Enabled.: Yes
IP Address. . . . . . . . . : 192.168.0.112
Subnet Mask. . . . . . . . : 255.255.0.0
Default Gateway. . . . . . : 192.168.0.1
DHCP Server. . . . . . . . : 10.1.0.50
Primary WINS Server. . . . : 10.1.0.101
Secondary WINS Server. . . : 10.1.0.102
Lease Obtained.. . . . . . : Wednesday, September 02, 1998 10:32:13 AM
Lease Expires.. . . . . . : Friday, September 18, 1998 10:32:13 AM

如果 TCP/IP 配置没有问题，下一步测试能够连接到 TCP/IP 网络上的其他主机。

使用 ipconfig /renew 刷新配置

解决 TCP/IP 网络问题时，先检查遇到问题的计算机上的 TCP/IP 配置。如果计算机启用 DHCP 并使用 DHCP 服务器获得配置，请使用 ipconfig /renew 命令开始刷新租约。
使用 ipconfig /renew 时，使用 DHCP 的计算机上的所有网卡（除了那些手动配置的适配器）都尽量连接到 DHCP 服务器，更新现有配置或者获得新配置。
也可以使用带 /release 选项的 ipconfig 命令立即释放主机的当前 DHCP 配置。有关 DHCP 和租用过程的详细信息，请参阅客户机如何获得配置。

注意
对于启用 DHCP 的 Windows 95 和 Windows 98 客户，请使用 winipcfg 命令的 release 和 renew 选项，而不是 ipconfig /release 和 ipconfig /renew 命令，手动释放或更新客户的 IP 配置租约。
使用 ipconfig 管理 DNS 和 DHCP 类别 ID 也可以使用 ipconfig 命令：
显示或重置 DNS 缓存。
详细信息，请参阅使用 ipconfig 查看或重置客户解析程序缓存。

刷新已注册的 DNS 名称。
详细信息，请参阅使用 ipconfig 更新 DNS 客户注册。

显示适配器的 DHCP 类别 ID。
详细信息，请参阅显示客户机上的 DHCP 类别 ID 信息。

设置适配器的 DHCP 类别 ID。
详细信息，请参阅设置客户机上的 DHCP 类别 ID 信息。

使用 Ping 测试连接

Ping 命令有助于验证 IP 级的连通性。发现和解决问题时，可以使用 Ping 向目标主机名或 IP 地址发送 ICMP 回应请求。需要验证主机能否连接到 TCP/IP 网络和网络资源时，请使用 Ping。也可以使用 Ping 隔离网络硬件问题和不兼容配置。

通常最好先用 Ping 命令验证本地计算机和网络主机之间的路由是否存在，以及要连接的网络主机的 IP 地址。Ping 目标主机的 IP 地址看它是否响应，如下：

ping IP_address
使用 Ping 时应该执行以下步骤：

Ping 环回地址验证是否在本地计算机上安装 TCP/IP 以及配置是否正确。
ping 127.0.0.1

Ping 本地计算机的 IP 地址验证是否正确地添加到网络。
ping IP_address_of_local_host

Ping 默认网关的 IP 地址验证默认网关是否运行以及能否与本地网络上的本地主机通讯。
ping IP_address_of_default_gateway

Ping 远程主机的 IP 地址验证能否通过路由器通讯。
ping IP_address_of_remote_host

Ping 命令用 Windows 套接字样式的名称解析将计算机名解析成 IP 地址，所以如果用地址成功，但是用名称 Ping 失败，则问题出在地址或名称解析上，而不是网络连通性的问题。详细信息，请参阅使用 Arp 解决硬件地址问题。

如果在任何点上都无法成功地使用 Ping，请确认：

安装和配置 TCP/IP 之后重新启动计算机。

“Internet 协议 (TCP/IP) 属性”对话框“常规”选项卡上的本地计算机的 IP 地址有效而且正确。

用 IP 路由，并且路由器之间的链路是可用的。

您可以使用 Ping 命令的不同选项来指定要使用的数据包大小、要发送多少数据包、是否记录用过的路由、要使用的生存时间 (TTL) 值以及是否设置“不分段”标志。可以键入 ping -? 查看这些选项。

下例说明如何向 IP 地址 172.16.48.10 发送两个 Ping，每个都是 1,450 字节：

C:\>ping -n 2 -l 1450 172.16.48.10
Pinging 172.16.48.10 with 1450 bytes of data:
Reply from 172.16.48.10:bytes=1450 time<10ms TTL=32
Reply from 172.16.48.10:bytes=1450 time<10ms TTL=32

Ping statistics for 157.59.8.1:
Packets:Sent = 2, Received = 2, Lost = 0 (0% loss),
Approximate roundtrip times in milli-seconds:
Minimum = 0ms, Maximum = 10ms, Average = 2ms

默认情况下，在显示“请求超时”之前，Ping 等待 1,000 毫秒（1 秒）的时间让每个响应返回。如果通过 Ping 探测的远程系统经过长时间延迟的链路，如卫星链路，则响应可能会花更长的时间才能返回。可以使用 -w （等待）选项指定更长时间的超时。

使用 Arp 解决硬件地址问题

“地址解析协议 (ARP)”允许主机查找同一物理网络上的主机的媒体访问控制地址，如果给出后者的 IP 地址。为使 ARP 更加有效，每个计算机缓存 IP 到媒体访问控制地址映射消除重复的 ARP 广播请求。

可以使用 arp 命令查看和修改本地计算机上的 ARP 表项。arp 命令对于查看 ARP 缓存和解决地址解析问题非常有用。

详细信息，请参阅查看“地址解析协议 (ARP)”缓存和添加静态 ARP 缓存项目。

使用 nbtstat 解决 NetBIOS 名称问题
TCP/IP 上的 NetBIOS (NetBT) 将 NetBIOS 名称解析成 IP 地址。TCP/IP 为 NetBIOS 名称解析提供了很多选项，包括本地缓存搜索、WINS 服务器查询、广播、DNS 服务器查询以及 Lmhosts 和主机文件搜索。
Nbtstat 是解决 NetBIOS 名称解析问题的有用工具。可以使用nbtstat 命令删除或更正预加载的项目：

nbtstat -n 显示由服务器或重定向器之类的程序在系统上本地注册的名称。

nbtstat -c 显示 NetBIOS 名称缓存，包含其他计算机的名称对地址映射。

nbtstat -R 清除名称缓存，然后从 Lmhosts 文件重新加载。

nbtstat -RR 释放在 WINS 服务器上注册的 NetBIOS 名称，然后刷新它们的注册。

nbtstat -a name 对 name 指定的计算机执行 NetBIOS 适配器状态命令。适配器状态命令将返回计算机的本地 NetBIOS 名称表，以及适配器的媒体访问控制地址。

nbtstat -S 列出当前的 NetBIOS 会话及其状态（包括统计），如下例所示：
NetBIOS connection table
Local name State In/out Remote Host Input Output
------------------------------------------------------------------
CORP1 <00> Connected Out CORPSUP1<20> 6MB 5MB
CORP1 <00> Connected Out CORPPRINT<20> 108KB 116KB
CORP1 <00> Connected Out CORPSRC1<20> 299KB 19KB
CORP1 <00> Connected Out CORPEMAIL1<20> 324KB 19KB
CORP1 <03> Listening

使用 netstat 显示连接统计

可以使用 netstat 命令显示协议统计信息和当前的 TCP/IP 连接。netstat -a 命令将显示所有连接，而 netstat -r 显示路由表和活动连接。netstat -e 命令将显示Ethernet 统计信息，而 netstat -s 显示每个协议的统计信息。如果使用 netstat -n，则不能将地址和端口号转换成名称。下面是 netstat 的输出示例：

C:\>netstat -e
Interface Statistics
Received Sent
Bytes 3995837940 47224622
Unicast packets 120099 131015
Non-unicast packets 7579544 3823
Discards 0 0
Errors 0 0
Unknown protocols 363054211
C:\>netstat -a
Active Connections
Proto Local Address Foreign Address State
TCP CORP1:1572 172.16.48.10:nbsession ESTABLISHED
TCP CORP1:1589 172.16.48.10:nbsession ESTABLISHED
TCP CORP1:1606 172.16.105.245:nbsession ESTABLISHED
TCP CORP1:1632 172.16.48.213:nbsession ESTABLISHED
TCP CORP1:1659 172.16.48.169:nbsession ESTABLISHED
TCP CORP1:1714 172.16.48.203:nbsession ESTABLISHED
TCP CORP1:1719 172.16.48.36:nbsession ESTABLISHED
TCP CORP1:1241 172.16.48.101:nbsession ESTABLISHED
UDP CORP1:1025 *:*
UDP CORP1:snmp *:*
UDP CORP1:nbname *:*
UDP CORP1:nbdatagram *:*
UDP CORP1:nbname *:*
UDP CORP1:nbdatagram *:*
C:\>netstat -s
IP Statistics
Packets Received = 5378528
Received Header Errors = 738854
Received Address Errors = 23150
Datagrams Forwarded = 0
Unknown Protocols Received = 0
Received Packets Discarded = 0
Received Packets Delivered = 4616524
Output Requests = 132702
Routing Discards = 157
Discarded Output Packets = 0
Output Packet No Route = 0
Reassembly Required = 0
Reassembly Successful = 0
Reassembly Failures =
Datagrams Successfully Fragmented = 0
Datagrams Failing Fragmentation = 0
Fragments Created = 0
ICMP Statistics
Received Sent
Messages 693 4
Errors 0 0
Destination Unreachable 685 0
Time Exceeded 0 0
Parameter Problems 0 0
Source Quenches 0 0
Redirects 0 0
Echoes 4 0
Echo Replies 0 4
Timestamps 0 0
Timestamp Replies 0 0
Address Masks 0 0
Address Mask Replies 0 0
TCP Statistics
Active Opens = 597
Passive Opens = 135
Failed Connection Attempts = 107
Reset Connections = 91
Current Connections = 8
Segments Received = 106770
Segments Sent = 118431
Segments Retransmitted = 461
UDP Statistics
Datagrams Received = 4157136
No Ports = 351928
Receive Errors = 2
Datagrams Sent = 13809

使用 tracert 跟踪网络连接

Tracert（跟踪路由）是路由跟踪实用程序，用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。

Tracert 工作原理

通过向目标发送不同 IP 生存时间 (TTL) 值的“Internet 控制消息协议 (ICMP)”回应数据包，Tracert 诊断程序确定到目标所采取的路由。要求路径上的每个路由器在转发数据包之前至少将数据包上的 TTL 递减 1。数据包上的 TTL 减为 0 时，路由器应该将“ICMP 已超时”的消息发回源系统。

Tracert 先发送 TTL 为 1 的回应数据包，并在随后的每次发送过程将 TTL 递增 1，直到目标响应或 TTL 达到最大值，从而确定路由。通过检查中间路由器发回的“ICMP 已超时”的消息确定路由。某些路由器不经询问直接丢弃 TTL 过期的数据包，这在Tracert 实用程序中看不到。

Tracert 命令按顺序打印出返回“ICMP 已超时”消息的路径中的近端路由器接口列表。如果使用 -d 选项，则Tracert 实用程序不在每个 IP 地址上查询 DNS。

在下例中，数据包必须通过两个路由器（10.0.0.1 和 192.168.0.1）才能到达主机172.16.0.99。主机的默认网关是 10.0.0.1，192.168.0.0 网络上的路由器的 IP 地 址是 192.168.0.1。

C:\>tracert 172.16.0.99 -d
Tracing route to 172.16.0.99 over a maximum of 30 hops
1 2s 3s 2s 10,0.0,1
2 75 ms 83 ms 88 ms 192.168.0.1
3 73 ms 79 ms 93 ms 172.16.0.99
Trace complete.

用 tracert 解决问题

可以使用 tracert 命令确定数据包在网络上的停止位置。下例中，默认网关确定 192.168.10.99 主机没有有效路径。这可能是路由器配置的问题，或者是 192.168.10.0 网络不存在（错误的 IP 地址）。

C:\>tracert 192.168.10.99
Tracing route to 192.168.10.99 over a maximum of 30 hops
1 10.0.0.1 reportsestination net unreachable.
Trace complete.
Tracert 实用程序对于解决大网络问题非常有用，此时可以采取几条路径到达同一个点。
Tracert 命令行选项
Tracert 命令支持多种选项，如下表所示。
tracert [-d] [-h maximum_hops] [-j host-list] [-w timeout] target_name

选项 描述
-d 指定不将 IP 地址解析到主机名称。
-h maximum_hops 指定跃点数以跟踪到称为 target_name 的主机的路由。
-j host-list 指定 Tracert 实用程序数据包所采用路径中的路由器接口列表。
-w timeout 等待 timeout 为每次回复所指定的毫秒数。
target_name 目标主机的名称或 IP 地址。
详细信息，请参阅使用 tracert 命令跟踪路径。

使用 pathping 测试路由器

pathping 命令是一个路由跟踪工具，它将 ping 和 tracert 命令的功能和这两个工具所不提供的其他信息结合起来。pathping 命令在一段时间内将数据包发送到到达最终目标的路径上的每个路由器，然后基于数据包的计算机结果从每个跃点返回。由于命令显示数据包在任何给定路由器或链接上丢失的程度，因此可以很容易地确定可能导致网络问题的路由器或链接。某些选项是可用的，如下表所示。

选项
 名称
 功能
 
-n
 Hostnames
 不将地址解析成主机名
 
-h
 Maximum hops
 搜索目标的最大跃点数
 
-g
 Host-list
 沿着路由列表释放源路由
 
-p
 Period
 在 ping 之间等待的毫秒数
 
-q
 Num_queries
 每个跃点的查询数
 
-w
 Time-out
 为每次回复所等待的毫秒数
 
-T
 Layer 2 tag
 将第 2 层优先级标记（例如，对于 IEEE 802.1p）连接到数据包并将它发送到路径中的每个网络设备。这有助于标识没有正确配置第 2 层优先级的网络设备。-T 开关用于测试服务质量 (QoS) 连通性
 
-R
 RSVP isbase Che
 检查以确定路径中的每个路由器是否支持“资源保留协议 (RSVP)”，此协议允许主机为数据流保留一定量的带宽。 -R 开关用于测试服务质量 (QoS) 连通性。
 

默认的跃点数是 30，并且超时前的默认等待时间是 3 秒。默认时间是 250 毫秒，并且沿着路径对每个路由器进行查询的次数是 100。

以下是典型的 pathping 报告。跃点列表后所编辑的统计信息表明在每个独立路由器上数据包丢失的情况。

D:\>pathping -n msw
Tracing route to msw [7.54.1.196]
over a maximum of 30 hops:
0 172.16.87.35
1 172.16.87.218
2 192.68.52.1
3 192.68.80.1
4 7.54.247.14
5 7.54.1.196
Computing statistics for 125 seconds...
Source to Here This Node/Link
Hop RTT Lost/Sent = Pct Lost/Sent = Pct Address
0 172.16.87.35
0/ 100 = 0% |
1 41ms 0/ 100 = 0% 0/ 100 = 0% 172.16.87.218
13/ 100 = 13% |
2 22ms 16/ 100 = 16% 3/ 100 = 3% 192.68.52.1
0/ 100 = 0% |
3 24ms 13/ 100 = 13% 0/ 100 = 0% 192.68.80.1
0/ 100 = 0% |
4 21ms 14/ 100 = 14% 1/ 100 = 1% 10.54.247.14
0/ 100 = 0% |
5 24ms 13/ 100 = 13% 0/ 100 = 0% 10.54.1.196
Trace complete.

当运行 pathping 时，在测试问题时首先查看路由的结果。此路径与 tracert 命令所显示的路径相同。然后 pathping 命令对下一个 125 毫秒显示忙消息（此时间根据跃点计数变化）。在此期间，pathping 从以前列出的所有路由器和它们之间的链接之间收集信息。在此期间结束时，它显示测试结果。

最右边的两栏 This Node/Link Lost/Sent=Pct 和 Address 包含的信息最有用。172.16.87.218（跃点 1）和 192.68.52.1（跃点 2）丢失 13% 的数据包。 所有其他链接工作正常。在跃点 2 和 4 中的路由器也丢失寻址到它们的数据包（如 This Node /Link 栏中所示），但是该丢失不会影响转发的路径。

对链接显示的丢失率（在最右边的栏中标记为 |）表明沿路径转发丢失的数据包。该丢失表明链接阻塞。对路由器显示的丢失率（通过最右边栏中的 IP 地址显示）表明这些路由器的 CPU 可能超负荷运行。这些阻塞的路由器可能也是端对端问题的一个因素，尤其是在软件路由器转发数据包时。

    这篇文档就TP-LINK企业级路由器的IP QoS功能的设置，给出了较详细的配置过程。

    下面就以TL-R480T举例说明。R480T软件升级后的界面如下，新增“QoS”：

    QoS Set界面如下图

    上图中红线勾勒部分的信息重要性就不强调了，下面有“上行带宽”和“下行带宽”两项参数，点击页面“帮助”按钮可以看到下图信息：

    可以将“上行带宽”和“下行带宽”理解为用户申请的宽带线路的实际上下行带宽，比如ADSL线路上行512Kbps下行2Mbps ，那么就可以在这里分别填写如下：

    如上图，在这里强调的是：必须先开启这里的开关“开启QoS”并填入线路实际的上下行带宽，然后才能在IP QoS页面继续配置，否则会提示错误。

    下面是IP QoS设置界面：

    举例添加如下新条目，如下图：

    上面填写了一些参数，解释如下：

    1）“地址段”——包含了从.10到.20总共11个IP地址。另外，这里的地址段允许输入和路由器LAN口IP地址不在同一网段的IP地址，意味着用户内网如果采用三层交换设备规划了不同子网的方案下，我们的路由器也可以支持对不同网段IP的带宽限制。

    2）“模式”——独立带宽，顾名思义下面的“最大带宽”“最小带宽”是针对这段IP地址里面的每一个IP而言，如果模式选择了“共享带宽”也就是这段IP共享下面的参数。

    3）“上行/下行”——我们都知道网络上传输的数据流是有方向的，比如BT下载，可以从Internet上的服务器下载数据，自身也作为服务器上传数据，我司路由器IP QoS就是根据这种“有方向性的数据流”来分别进行限制。

    路由器非常准确的对上/下行数据流分开来进行了限制。就上图填写的参数，假设配置了192.168.1.10这个IP地址的主机正在进行 BT下载，那么这台主机的数据流量会比较大，这台主机的数据流分两部分：一部分是它从别的服务器下载数据，一部分是它上传数据给别的主机。路由器的IP QoS将会对这台.10的主机下载和上传两个方向的数据流量分别进行规定限制。

    按照上面填写的参数，.10主机在上行方向（上传数据）的数据流量最小保证50Kbps、最大不超过100Kbps的带宽，下行方向（下载数据）的数据流量最小保证100Kbps、最大不超过200Kbps的带宽。这里上行数据和下行数据的可用带宽是以线路实际上/下行带宽作为参考的。

    如果现在.10 — .20这11台主机都在下载数据，而线路的实际下行带宽是有限的2Mbps ，可能发生带宽争用，按照我们上面设置的参数路由器要先保证每一个IP地址下行数据最小使用100Kbps的带宽，那么11台主机总共使用了 1100Kbps的带宽资源，这条线路总的下行带宽资源2000Kbps还余留约900Kbps ，这900Kbps的剩余带宽资源如何分配？我们可以这样理解路由器对剩余900Kbps的线路带宽的分配：比如某个时候11台主机都在争用剩余 900Kbps的带宽，那么“在第一轮争用过程中，11台主机平分了900Kbps的带宽”，过了第一轮争用后，11台主机中的2台在使用给自己保证的最小100Kbps的带宽后刚好足够传输不需要额外的带宽了，这2台主机就退出了争用过程只余下9台主机继续争用，那么在第二轮争用过程中就是9台主机平分了900Kbps的带宽。

    如上图红色标注，现在假设线路的下行带宽是10Mbps ，配置了192.168.1.10和192.168.1.11这两台主机的“下行带宽”最小都是100Kbps ，最大却不同分别是1000Kbps和2000Kbps ，那么带宽在分配的时候：

• 路由器先保证两台主机的“下行带宽”最小可以使用到100Kbps 。
• 最小带宽保证后，两台主机进一步还有下行带宽的需求，那么超过100Kbps的流量后，路由器采用“轮询”方式，开始增大两台主机占用的有效带宽，当192.168.1.10这台主机的下行数据流占用的带宽达到最大1000Kbps的时候，路由器将不会载转发超过1000Kbps带宽的数据包。但是192.168.1.11这台主机在争用带宽的时候，数据流达到1000Kbps后这台主机仍然需要更大的带宽，路由器会一直增大它占用的有效下行带宽至2000Kbps后，将不再继续转发超过这个带宽范围的数据包。
• 剩余的下行7Mbps的带宽资源将闲置，不会分配给.10和.11 ，除非将其最大可用“下行带宽”改为更大，否则它们将不能使用剩余带宽。

    配置IP QoS的时候，“模式”选择为“共享带宽”，则是地址段内包含的所有IP地址共享设置的上下行最大最小带宽。

    上面我们用了较长篇幅来描述企业级路由器新增的IP QoS功能的使用，看似繁复其实核心内容就一点点，也很容易理解。

    在局域网中，通信前必须通过ARP协议来完成IP地址转换为第二层物理地址（即MAC地址）。ARP协议对网络安全具有重要的意义。通过伪造IP地址和MAC地址实现ARP欺骗，对网络的正常传输和安全都是一个很严峻的考验。

    “又掉线了！！！”每当听到客户的抱怨声一片响起，网管员就坐立不安。其实，此起彼伏的瞬间掉线或大面积的断网大都是ARP欺骗在作怪。ARP欺骗攻击已经成了破坏网吧经营的罪魁祸首，是网吧老板和网管员的心腹大患。

    目前知道的带有ARP欺骗功能的软件有“QQ第六感”、“网络执法官”、“P2P终结者”、“网吧传奇杀手”等，这些软件中，有些是人为手工操作来破坏网络的，有些是做为病毒或者木马出现，使用者可能根本不知道它的存在，所以更加扩大了ARP攻击的杀伤力。

    从影响网络连接通畅的方式来看，ARP欺骗有两种攻击可能，一种是对路由器ARP表的欺骗；另一种是对内网电脑ARP表的欺骗，当然也可能两种攻击同时进行。不管理怎么样，欺骗发送后，电脑和路由器之间发送的数据可能就被送到错误的MAC地址上，从表面上来看，就是“上不了网”，“访问不了路由器”，“路由器死机了”，因为一重启路由器，ARP表会重建，如果ARP攻击不是一直存在，就会表现为网络正常，所以网吧业主会更加确定是路由器“死机”了，而不会想到其他原因。为此，宽带路由器背了不少“黑锅”，但实际上应该ARP协议本身的问题。好了，其他话就不多说，让我们来看看如何来防止 ARP的欺骗吧。

    上面也已经说了，欺骗形式有欺骗路由器ARP表和欺骗电脑ARP两种，我们的防护当然也是两个方面的，首先在路由器上进行设置，来防止路由器的ARP表被恶意的ARP数据包更改；其次，我们也会在电脑上进行一下设置，来防止电脑的ARP表受恶意更改。两个方面的设置都是必须的，不然，如果您只设置了路由器的防止ARP欺骗功能而没有设置电脑，电脑被欺骗后就不会把数据包发送到路由器上，而是发送到一个错误的地方，当然无法上网和访问路由器了。

一、设置前准备

    当使用了防止ARP欺骗功能（IP和MAC绑定功能）后，最好是不要使用动态IP，因为电脑可能获取到和IP与MAC绑定条目不同的IP，这时候可能会无法上网，通过下面的步骤来避免这一情况发生吧。

    1.把路由器的DHCP功能关闭：打开路由器管理界面，“DHCP服务器”－＞“DHCP服务”，把状态由默认的“启用”更改为“不启用”，保存并重启路由器。

    2.给电脑手工指定IP地址、网关、DNS服务器地址，如果您不是很清楚当地的DNS地址，可以咨询您的网络服务商。

二、设置路由器防止ARP欺骗

    目前这一功能只有在R480T的最新Beta版升级程序中有，公测正常后会在所有企业级路由器上增加这一功能。打开路由器的管理界面可以看到如下的左侧窗口：

    可以看到比之前的版本多出了“IP与MAC绑定”的功能，这个功能除了可以实现IP和MAC绑定外，还可以实现防止ARP欺骗功能。

    打开“静态ARP绑定设置”窗口如下：

    注意，默认情况下ARP绑定功能是关闭，请选中启用后，点击保存来启用。

    打开“ARP映射表”窗口如下：

    这是路由器动态学习到的ARP表，可以看到状态这一栏显示为“未绑定”。如果确认这一个动态学习的表没有错误（如果网络是正常运行的，而且不同IP对应的MAC不一样，一般就没有错误）。我们把这一个表进行绑定，并且保存为静态表，这样路由器重启后这些条目都会存在，达到一劳永逸的效果。

    点击“全部绑定”，可以看到下面界面：

    可以看到状态中已经为已绑定，这时候，路由器已经具备了防止ARP欺骗的功能，上面的示范中只有三个条目，如果您的电脑多，操作过程也是类似的。有些条目如果没有添加，也可以下次补充上去。除了这种利用动态学习到的ARP表来导入外，也可以使用手工添加的方式，只要知道电脑的MAC地址，手工添加相应条目就可。

    为了让下一次路由器重新启动后这些条目仍然存在，我们点击了“全部导入”，然后再次打开“静态ARP绑定设置”窗口：

    可以看到静态条目已经添加，而且在绑定这一栏已经打上勾，表示启用相应条目的绑定。到此，我们已经成功设置路由器来防止 192.168.1.111、192.168.1.112、222.77.77.1这三个IP受ARP欺骗的攻击，如果有更多的电脑，只是条目数不同，设置过程当然是一样的，不是很难吧？

三、设置电脑防止ARP欺骗

    路由器已经设置了防止ARP欺骗功能，接下来我们就来设置电脑的防止ARP欺骗了。微软的操作系统中都带有ARP这一命令行程序，我们可以在windows的命令行界面来使用它。打开windows的命令行提示符如下：

    通过“arp-s ＋路由器IP如192.168.1.1＋路由器的MAC地址”这一条命令来实现对路由器的ARP条目的静态绑定，可以看到在arp -a 命令的输出中，已经有了我们刚才添加的条目，Type类型为static表示是静态添加的。至此，我们也已经设置了电脑的静态ARP条目，这样电脑发送到路由器的数据包就不会发送到错误的地方去了。

    怎么知道路由器的MAC地址是多少呢？可以打开路由器的管理界面，进入“网络参数”－＞“LAN口设置”：

    LAN口的MAC地址就是电脑的网关的MAC地址。

    细心的人可能已经发现了，如果使用上面的方法，电脑每次在重启后都需要输入上面的命令来实现防止ARP欺骗，有没有更简单的方法自动来完成，不用手工输入呢？有！

    我们可以新建一个批处理文件如static_arp.bat，注意后缀名为bat。编辑它，在里面加入我们刚才的命令：

    保存就可以了，以后可以通过双击它来执行这条命令，还可以把它放置到系统的启动目录下来实现启动时自己执行。打开电脑“开始”－＞“程序”，双击“启动”打开启动的文件夹目录，把刚才建立的static_arp.bat复制到里面去：

    好了，以后电脑每次启动时就会自己执行arp –s命令了，网吧网管和老板终于可以好好休息一下，不再受到ARP攻击的干扰。

    随着互联网的普及，现在越来越多的家庭可以方便的上网，实现上网的方式是多种多样的，如MODEM拨号，ISDN，ADSL，小区宽带等方式。网络的内容是十分精彩的，想不想组建个人网站，让您的朋友分享您的精彩生活？想不想让大家分享您的拥有的最新资讯？如果想在网上安家，想建立又酷又精彩的个人网站，那就随我一起，开始搭建WEB/FTP服务器之旅吧！
一、前期的准备工作
    1、上网方式介绍：
    我使用的上网方式：ADSL+路由器，这里使用的产品是TD-8800+TL-R480T。局域网内有一台WIN2000服务器，通过它搭建WEB/FTP服务器。
    结构如下：（图示）
ISP——ADSL（TD-8800）——路由器（TL-R480T）——服务器（WIN2000 SERVER系统，IP是：192.168.1.222）。
     TL-R480T支持虚拟服务器，提供架设服务器功能，可指定内部局域网络的特定主机为Web、Mail、FTP等类型的服务器。DDNS功能内置花生壳和科迈的客户端，您通过登陆这两个网站获取免费的域名，通过在路由器上设置客户端，实现动态域名转换。
    2、申请花生壳免费域名： 申请免费动态域名的网站地址：http://www.oray.net ，http://www.comexe.cn 。     登陆花生壳官方网站，注册网域护照和申请花生壳免费域名，注册完毕后还需要进入花生壳管理中心激活域名。我申请的动态域名是：http: //luruihuaweb.vicp.net 。
二、配置宽带路由器
    前面已经在花生壳的官方网站申请了动态域名：http://luruihuaweb.vicp.net，在内网建立WEB，FTP服务器，必须开放相应的端口，定义广域网服务端口与局域网服务器的映射关系，下面我们开始设置TL-R480T。
1、 设置虚拟服务器：打开路由器设置界面，在“虚拟服务器”里面，将21端口和80端口分别映射给内网的FTP服务器和WEB服务器，如图所示：

2、 更改远程WEB管理端口：前面已经将80端口映射到内网的WEB服务器，此时需要修改远程WEB管理端口，如图所示：

3、 设置DDNS:

通过上述配置，已经完成路由器的基本配置了，下面开始配置服务器。 三、通过IIS配置WEB/FTP服务器 IIS是Internet Information Server的缩写，是微软提供的Internet服务器软件，包括WEB、FTP、Mail等等服务器。本文以Win2000服务器版操作系统为例，介绍WEB、 FTP服务器的安装和设置方法。IIS是Windows操作系统自带的组件，如果在安装操作系统的时候没有安装IIS，请打开“控制面板”->“添加或删除程序”->“添加/删除Windows组件”->双击“Internet信息服务”-> 选择“World Wide Web 服务器 ”安装。 1、打开“控制面板”->“管理工具”->“Internet 服务管理器”：

　　 在“默认Web站点”上按鼠标右键，选择“属性”，弹出默认Web站点设置窗口：

“TCP端口”是WEB服务器端口，默认值是80，不需要改动。 “IP地址”是WEB服务器绑定的IP地址，默认值是“全部未分配”，建议不要改动。默认情况下，WEB服务器会绑定在本机的所有IP上，包括拨号上网得到的动态IP。 2、点击上面属性窗口里的“主目录”：

　　 在“本地路径”右边，是网站根目录，即网站文件存放的目录，默认路径是“c:\inetpub\wwwroot”。如果想把网站文件存放在其他地方，可修改这个路径。 3、点击上面属性窗口的“文档”：

　　　　在这里设置网站的默认首页文档。在浏览器里输入一个地址（例如http://luruihuaweb.vicp.net）访问IIS的时候，IIS会在网站根目录下查找默认的首页文件，如果找到就打开，找不到就显示“该页无法显示”。请在这里添加所需的默认首页文件名，添加完后可以用左边的上下箭头排列这些文件名的查找顺序。 4、WEB服务器设置完毕。IIS已经可以提供WEB服务了。 　　如果您已经做好网站，请把网站文件copy到网站根目录，并确认网站的默认首页文件名已经在上面窗口的搜索列表里，之后打开IE，输入 http://luruihuaweb.vicp.net，就看到网站了。 5、FTP服务器: IIS中带有一个FTP服务器。在“控制面板”的“管理工具”中，启动IIS，并启动IIS上的FTP服务。在默认情况下，FTP服务器已经搭建好了，并且可以立即登录，但是该FTP中没有任何文件。右击IIS中的“默认FTP站点”节点，选择“属性”命令，打开相应的属性设置对话框。

点击“主目录”选项卡，在FTP站点目录的“本地路径”处填上要设置的共享文件路径。默认情况下，此处的文件夹位置为 “C :\Inetpub\Ftproot”，如果临时想改变共享目录，随时都可在此处修改，以后别人登录FTP服务器时显示的文件列表就是在这个目录中。在“主目录”的选项卡中，还可设置FTP服务器的文件访问权限，分别有读取、写入和记录访问。安全起见，这里的写入权限一般不选，保证匿名用户不能随意对文件进行操作。设置登录的用户。如果要提供“匿名”访问的权限，还需在“安全账户”选项中选择“允许匿名连接”选项。此外，还可从Windows2000 服务器的用户账号(控制面板→管理工具→计算机管理→本地用户和组)中选择FTP服务器的特殊账号，当然也可以自己设置用户名和密码。在“消息”选项卡中，有“欢迎”、“退出”和“最大连接数”3个输入框，分别代表别人在登录、退出时FTP服务器给出的提示信息，这可以根据自己的需要设置，最大连接数是设置同时连接本地FTP的最大主机台数。在“FTP站点”选项卡中设置FTP标识，包括说明、IP地址和端口，在“描述”文本框中，把“默认FTP站点”改为FTP站点名称，其它的一般不需要改动，按照默认选项即可。

     企业用户使用路由器共享上网，常常需要对内网计算机的上网权限进行限制，如限制某些计算机不能上网，限制某些计算机可以收发邮件但是不可以浏览网页，限制计算机不能访问某个站点，而一些计算机有高级权限，不受任何限制。路由器具有防火墙功能，功能可以灵活组合成一系列控制规则，形成完整的控制策略，有效管理员工上网，能方便您对局域网中的计算机进行进一步管理。“数据包过滤”功能可以控制局域网中计算机对互联网上某些网站的访问； “MAC地址过滤”是通过MAC地址过滤来控制局域网中计算机对Internet的访问；“域名过滤”可以限制局域网中的计算机对某些网站的访问。

    下面以TL-R490路由器为例，说明设置的方法。局域网内有8台计算机，计算机1（IP: 192.168.1.2）不能上网，计算机2（IP:192.168.1.3）可以收发邮件但是不可以浏览网页，计算机3（IP: 192.168.1.4）不能访问这个站点（219.134.132.61），计算机4（IP:192.168.1.5）不可以收发邮件但是可以浏览网页，其他计算机不受任何限制。以下是通过数据包过滤的方式对访问互联网的权限进行设置，因为对于其他的计算机是不做任何限制，所以把缺省过滤规则设置为允许通过；如果不允许其他计算机上网，那么应该把缺省过滤规则设为禁止通过(当然你的IP过滤条目的操作方法应该是允许通过的)：

    上面的第一条条目的目的是让计算机都能够通过DNS服务器解释到某个域名的IP地址，这样电脑才能够正常连接，当然本例不添加也行，因为默认规则是允许通过。在缺省过滤规则是禁止通过的情形下这个条目是一定要添加上去。

    对于限制某些计算机不能上网的情况，除了上面介绍的“数据包过滤”设置外，还可以通过“MAC地址过滤”方式实现。

     端口服务对应表：FTP--21 ， HTTP（浏览网页）---80，SMTP（发送邮件）---25，POP（接收邮件）----110，DNS(域名服务)--------53。

有不少网吧用户使用ADSL线路和TL-R400 SOHO路由器上网时经常发现网络速度较慢，有时甚至出现死机现象，相信此时大家一定都很烦恼。我在电信局申请的明明是宽带业务，并都说宽带不会阻塞，为何我的网络会这么慢？殊不知，此时使用的一般都是ADSL专线或是虚拟拨号方式共享上网，其上网带宽一般在512K到1M之间（不同地方的电信部门开放的带宽不同，最多为2M），另外加上线路质量、与电信局之间的距离影响等外在因素，实际所使用到的带宽应该还会低于这个数值。我们可简单计算一下：即使理想情况下的2M带宽，如40位用户同时共享上网，则每个用户所分得的带宽为50K（大致相当于一个普通的56K MODEM）；如20位用户同时共享上网，则每个用户所分得的带宽为100K（大致相当于一个普通的128K ISDN线路），所以对于现在网吧的网络规模而言（一般都在60台以上），若使用一条ADSL线路上网产生阻塞就不难理解了。这也就是大家常能听到的出口带宽瓶颈问题。我们推荐一条ADSL线路下支持30个左右的用户同时共享上网，基本上就比较理想。针对这种情况，这里介绍一种简单有效的解决方案：采用多条ADSL上网线路接多个TL-R400 SOHO路由器上网的方法。现在TL-R400 SOHO路由器的价格以及电信局的ADSL线路使用包月制的费用都很便宜，这样做既不会增加多少经济成本，又能合理地分配上网带宽，保证共享上网的速度和稳定性，同时所有的机器仍处于同一个网段，能直接互访。那么，如何设置TL-R400路由器使多个路由器下的客户机既能共享上网又能互相访问呢？其设置的关键在于：将路由器设置成不同的IP、设置不同的电脑的默认网关地址为不同路由器。这样分组后达到使用不同的路由器上网的要求。下面我们就用一个实例来说明一下。假设一个网吧共有90台机器，且同时这些电脑在同一网段。您同时申请有3条ADSL线路，分别编号为ADSL1、ADSL2、ADSL3，三个ADSL MODEM分别编号为ADSL Modem1、ADSL Modme2、ADSL Modem3，您购买的 TL-R400 三台，分别编号为TL-R400-1、TL-R400-2、TL-R400-3。首先我们的接线方式如下：

ADSL1------ADSL Modem1------TL-R400-1------SWITCH（TL-SF1024） ADSL2------ ADSL Modem2------TL-R400-2------SWITCH（TL-SF1024） ADSL3------ ADSL Modem3------TL-R400-3------SWITCH（TL-SF1024）

90台客户机直接连到交换机上。具体连接拓扑图如下： 进入TL-R400的设置界面，在"主要设置"的"局域网IP地址"中作如下更改： TL-R400-1：IP地址改为192.168.0.1 TL-R400-2：IP地址改为192.168.0.2 TL-R400-3：IP地址改为192.168.0.3 同时按照使用手册提示的设定好关于其它相关设置。然后再设置电脑，您可以将电脑分为三组（每组30台）来使用这三条ADSL线路。

使用ADSL1的电脑设置： IP地址：192.168.0.11-----192.168.0.40，子网掩码：255.255.255.0，网关： 192.168.0.1，DNS：由ISP提供。 使用ADSL2的电脑设置： IP地址：192.168.0.41-----192.168.0.70，子网掩码：255.255.255.0，网关：192.168.0.2，DNS：由ISP提供。 使用ADSL3的电脑设置： IP地址：192.168.0.71-----192.168.0.100，子网掩码：255.255.255.0，网关：192.168.0.3，DNS：由ISP提供 参照以上方法设置，即可实现有效分配三条上网线路使整个局域网共享上网，同时，整个局域网内的机器同处于一个网段，不需任何设置可直接互相通讯。另外此种设置还有一个重要的好处就是增强整个网络的稳定可靠性，即使其中的某一台路由器或ADSL MODEM或ADSL线路出现故障，只需修改相应的电脑网关设置，整个网络仍可以共享上网。

    只用一个 Internet 帐号、一条电话线和一个调制解调器让多个局域网用户都能用各自喜爱的 WWW 浏览器、Email、News、FTP、Telenet等等访问Internet，是企业内部上网最经济的解决方案，现在最常用的两种软件就是 WinGate和SyGate,虽然在易用性方面来说SyGate占优,但是WinGate正以其强大的功能吸引着越来越多的用户。

    WinGate 是一个优秀的代理服务器应用软件。它能使多个用户通过一个连接（包括几乎各种类型的Modem, ISDN, 专线等）实现同时访问Internet。WinGate在一台Windows 95或NT计算机上运行，这台计算机不需要为此任务“专用”。 WinGate 3.0支持几乎所有类型的运行TCP/IP的客户端计算机，以及各种流行的Internet应用软件，如Netscape Navigator、 MS Internet Explorer、 Eudora、 Netscape Mail、 telnet和FTP等等。WinGate同时还充当一个坚固的防火墙，能控制你自己内部网络的出入访问。相对同类软件，WinGate有很多优点，如可以限制用户对Internet访问的能力，通过GateKeeper提供的强劲的远程控制和用户认证能力（Pro版），记录和审计能力，一个SOCKS5服务器， HTTP缓存（节省带宽和加速访问），连接映射，可作为服务运行等等。

    据笔者在本单位使用的感觉，十多台计算机的局域网，以Wingate为代理服务器通过一个Modem上网，速度并不慢。说了这么多了，有的朋友可能已经急不可耐了，好，让我们一同来安装使用Wingate。

    一、安装前的准备工作

    WinGate软件在LAN（局域网）上的一台机器上运行，这台机器通常称为WinGate机器（相当于服务器）。LAN上的其它计算机机称为客户机（Client）或工作站（WorkStation）。WinGate机器通过Modem或其它方式访问国际互联网络，而客户机则通过WinGate机器 “间接”访问国际互连网络。WinGate对客户机的硬件要求不高，只要能运行相应的操作系统（如Windows，Windows NT等），但是运行WinGate软件的机器最低的推荐配置如下：

    小规模的LAN（2－20个用户）：一般建议使用Windows　NT操作系统，机器要求有Pentuim　166以上的CPU、64M以上的内存、56Kbps的Modem（或使用ISDN专线连接）。

    大规模的LAN（20个用户以上）：运行Windows　NT操作系统 ，Pentium 266以上的机器、128M的内存，通过ISDN或T1专线访问Internet。

    另外，作为服务器的WinGate机器上的硬盘容量越大越好。

    二、安装

    WinGate软件版本很多，最新发行版本是WinGate 3.02，可以到公司站点www.wingate.com下载一个30天的试用版，下载完成后，直接执行wg3029x.exe即可进行安装。

    1.在你准备设为WinGate的机器上运行wg3029x.exe,首先出现的是WinGate的欢迎及安装类型选择画面，由于没有在网络的其它计算机上发现WinGate,安装程序会建议你配置这台计算机为WinGate服务器，那还用问当然是服务器。

    2.安装程序提示若本台计算机已安装了WinGate的前期版本，安装程序会将其升级为WinGate 3.02。

    3.注册。按要求填上Licence name 和 Licence Key，不填是无法安装成功的。

   4.选择安装方式。对于初学者来说，选择Express好了（你可以跳过以下几步直接看设置篇），如果你选择了Custom，那么在以下的几步中好好设置一下吧。

    5.安装路径在这里请选择安装路径，缺省安装路径为C:\Program Fil-es\wingate。

   6.设定WinGate的SMTP（电子邮件发信服务器），News（新闻讨论组服务器），IRC（互联网络实时聊天服务器）和IMAP4。这几项可根据自己的实际情况填写，如果没有的话也可以跳过去不填。

    7.设定 Cache（缓存空间）路径及大小，由于WinGate提供了Cache功能，可以将用户访问过的站点上的内容存储起来。以后如果有人通过LAN上的机器再次访问同一个站点，而该站点的内容又没有更新的话，WinGate便会直接采用已经存储在WinGate机器本身硬盘上的数据以节省重复读取的时间。因此用户需要设定Cache文件存放的路径以及Cache之大小，缺省的Cache大小是50M，当存储的内容超过设定的Cache大小时，系统会自动将 Cache中原有的内容删除以便存储新的内容。 这就是为什么要大容量的硬盘的原因。

    8.输入机器名称及IP地址，随后WinGate会询问这台代理服务器的一些信息，首先必须输入　WinGate机器的名称以及IP地址。名称输入WinGate，IP地址必须是WinGate机器上网卡的IP地址。WinGate内定的IP地址是一个Classic级的INIA保留IP地址，区段为 192.168.0.1，因此这里可以设为 192.168.0.1。

   三、设置

    1.接下来要设定服务器的TCP/IP，在“控制面板”——“网络”，找到 TCP/IP (网卡的那一个)，按 [属性]会出现下面一系列的设定， 其设置方法如下∶

[IP 地址]

IP 地址: 请自定一个，或者输入192.168.0.1

子网掩码∶255.255.255.0

[WINS 配置]

禁用 WINS解析

[DNS]

启用 DNS

    主机名中填入电脑名称，如:Jackeroo，域中填入你的 ISP 的域名，如cta.cq.cn（当然也可以不填），DNS 服务器搜索顺序中，填入你的 ISP 的 DNS Server 的 IP，如∶202.98.32.68，填入后按 [添加]。域后缀搜索顺序,不填。设完之后重新开机即可

    你可将 WinGate.exe 的快捷方式放入[启动]组中，让每次开机时自动开始拨号时，不过不见得一定要用 WinGate 里的拨号功能，也可以使用其它的拨号程序拨号。

    2.在客户机上安装WinGate软件，和第二部分在服务器上的安装大同小异，只不过在安装方式时选择Client即可，甚至你也可以不安装直接把 GateKeeper.exe、Wingate.hlp，Wingate.cnt和wgutil.exe这几个文件拷贝到每台客户机上，或者把这几个文件放到一个LAN上的机器都可以共享的目录里。

    下面我们来设置Client（客户端）的TCP/IP:

[IP 地址]

IP 地址: 请自订一个，比如 192.168.0.2，但是，不要和服务器的IP地址相同，若有一台以上的工作站，每台工作站的 IP 也不可重复！

子网掩码: 255.255.255.0

[WINS 配置]

禁用 WINS解析

[网关]

填入192.168.0.1（即为服务器的IP地址）。

[DNS]

    选启用 DNS。主机中填入电脑名称，如: PowerZLZ (此电脑名称亦不可和服务器相同，需唯一)，DNS 服务器搜索顺序中，填入你的服务器的 IP地址，我们这里是 192.168.0.1，填入后按[添加]。域后缀搜索顺序，让它空白，设完后选确定，然后关闭

    设定 Hosts 文件（在C:\windows目录下）， 请用一般文本编辑器(如 NotePad)，找到 Windows 目录下的 Hosts 文件添加如下一行:

192.168.0.1 WinGate

    四、测试:

    1.初步测试:工作站在以上设定完成后，绝大部分工作可算已经完成，接下来我们来做一些测试，看是否可以正常工作。

    打开一个 DOS 窗口，输入 ping WinGate 若是有回应，恭喜你，这表示和服务器的连接正确！若无回应，则重新检查一次你的设置是否有错误。

    2.进一步的测试:

    在服务器上启动拨号软件，直接连上国际互连网！

    在工作站上的 DOS 窗口，输入 ping www.pcdigest.com

    你若看到如下讯息:

Pinging www.pcdigest.com [210.74.168.30] with 32 bytes of data:

Reply from 210.74.168.30: bytes=32 time=867ms TTL=248

Reply from 210.74.168.30: bytes=32 time=841ms TTL=248

Reply from 210.74.168.30: bytes=32 time=860ms TTL=248

Reply from 210.74.168.30: bytes=32 time=845ms TTL=248

    表示你的工作站已经可通过服务器连上 DNS，因为 www.pcdigest.com 是域名，而反馈回来的信息是 IP 地址。到此为止，已经可以很确定你的设置是没问题的了！

    五、各种软件的设定

    Netscape:

选 [Options]－[Preferences]－[Proxies]，填入如下:

HTTP PROXY: WinGate PORT:80

SOCKS PROXY: WinGate PORT:1080

    Microsoft Internet Explorer:

选[控制面板]－[Internet]－[Advanced]

打开 use proxy server proxy server中填入:http://WinGate

    WS_FTP:

选[Options]－[Session Option]－[Use Firewall]

不要使用 Use PASV Transfer Mode，选择 [Save as default]，然后关闭。在产生 FTP session name 时，请选 [Advanced]，然后在 Firewall 栏输入WinGate，在port栏填入21，然后选 User with no logon。

    CuteFTP :

选[ftp]－[settings]－[option]－[firewall]

host中填入WinGate，Port:21，type选 USER user@site。打开 enable firewall，同时选中PASV MODE。

    Telnet（远程登录）：

    客户端TELNET程序的设置：WinGate支持TELNET代理，但在客户端不能直接使用TELNET连接到目的地址，而应首先TELNET到代理服务器上之后才可以连接到目的服务器，例如在客户端要连接到清华大学BBS(bbs.tsinghua.edu.cn)，且代理服务器IP为 202.115.5.1，则在WIN 95中选择运行，在运行栏中添入telnet 202.115.5.2(不是telnet bbs.tsinghua.edu.cn)，之后在TELNET程序中会出现"WINGATE>"的提示符，则在该提示符后面输入 bbs.tsinghua.edu.cn，这样就可以连接到清华大学BBS了。

    E-mail软件：

    Pegasus、Netscape Mail 的设置都比较简单，请自行设定，主要是要注意 user name 的部份，要用#号而不是用@ (在以上几个 E-mail 中的 return address， 一定要填，不然别人会无法回信给你)。

    News reader（新闻组阅读）：

    在 NNTP Server 中填入 WinGate。以上设定若是有问题，无法正常运作，但是你又确定连线是正确的，请再检查一下该软件的设定。

    Netmeeting:

    现在 Netmeeting 能有限地被 WinGate 3.0 所支持。

    在防火墙后面的工作能够呼叫外面的 Netmeeting 用户，但不能接收他人的呼叫。并且由于 Netmeeting 使用特别的端口，而不是动态地分配端口，所以同一时刻也只有一个 Netmeeting呼叫可被使用。这些限制是继承了H323用H324协议。这些问题目前正在探讨解决中。

    要使用 Netmeeting 或相类似的软件，在客户端需要安装 WinGate 的客户端软件,这是 WinGate 带来的新特性。当 WinGate 客户端配置成功以后，客户应用程序就应该配置成为直接地与Internet联接，而不再需要配置代理服务器的参数。

    六、使用Wingate来管理

    Wingate安装成功后,使用GateKeeper进行配置和监控。GateKeeper是一功能强大的远程控制和配置程序，通过建立加密的TCP/IP 连接，和WinGate 核心引擎进行通信，实现对WinGate 的远程操作，就是GateKeeper正在运行时的信息显示。

    如果你是第一次进入GateKeeper（并且你使用的不是Home版本的话），将跳出来一个对话框，在这里单击“OK”进入，然后在下面的窗口中输入口令即可，现在你已经登录入GateKeeper了。

    Activity窗口

    Activity窗口实际上就是Administrator（系统管理员）的管理窗口，这个窗口中的所有信息都是实时显示并且不断更新，在这里，你可以监测也可以删除任何一个进程:

    在任何一个进程上单击右键，在弹出的右键菜单中将会显示出所有的可以进行的操作。

    删除进程:在进程上单击右键然后选择“Terminate Session”即可。这里包括三种进程：

    数据进程，任何数据进程都可以被删除。这个进程的删除不会影响该用户的其它任何活动进程。一般这个选项常用在一个程序被挂起的时候。

    远程登录进程：终止远程登录将把用户从认证模式转换到假定的默认用户。

    用户登录：请慎重使用，删除一个用户意味着所有和该用户相关连的进程的终止。如果该机器仍旧有Intrernet请求，该用户将被转化为假定的默认用户。

    向用户发消息：这个选项准许你向客户端发一条短消息，而且用户可以通过按下“Reply”按钮来回复。

    History窗口

    如果你选择了History，你可以在这里查询所有的用户曾经登录的网站和浏览过的网址

    高级功能

    当你同时选中了Control和Activity时，一个的窗口会出现在你的面前。在左边的窗口中列出了所有WinGate提供的功能，你可以通过下边的System、Service和Users来选择不同的控制选项。

    System选项

    不同的图标代表不同的含义:意味着服务正在运行，表示服务被停止，服务出错，双击可以打开缓存设置对话框，而用来控制或选择拨号网络，定义日程安排。

    Service选项

    这个选项页主要包括了一些诸如代理服务器的设置。大多数用户并不需要设置，如果你想支持非Windows用户，则必须添加用户服务。在每一个服务上边双击，可以打开相应的设置窗口。

    在其中一个服务上单击右键选择“New service” ，然后选择需要添加的服务类型，为这个服务输入一个唯一的名字并且添加一些注释，一般端口号按默认值即可。到此为止，一个新的服务项目已经添加进来，你可以尽情的享用了。

    Users 选项

    在这里你可以添加或者删除用户、添加/删除组，设置用户系统规则等等。

    我们可以这样添加一个用户，在Users上边单击右键，选择“New User”,输入相应的信息用户信息、组信息、账号信息和相应的审核项目即可。

    除上述这些核心功能外，WinGate还提供了其它许多功能。有兴趣的读者可以继续深究，找出来什么好的东东，不要忘记告诉我哟！

    双绞线做法有两种国际标准，分别是EIA/TIA568A和EIA/TIA568B。下面我们首先来看看它们的连接方式，见下图：

（EIA/TIA568A标准）                （EIA/TIA568B标准）

    实际上标准接法EIA/TIA568A和EIA/TIA568B二者并没有本质的区别，只是颜色上的区别 ，用户需要注意的只是在连接两个水晶头时必须保证：

1,2 线对是一个绕对；
3,6 线对是一个绕对；
4,5 线对是一个绕对；
7,8 线对是一个绕对；　

    双绞线中4/5，7/8这四根线没有定义。而具体做线时，往往不注意接成了1、2、3、4（在前几年做NOVELL网连接10M网络时就是这样连接的，但10M网络相对而言带宽窄，连通性好，故连接成1、2、3、4也可以互访）。由于100M的高带宽，再连成1、2、3、4就不能很好地工作了。要命的是，该故障的表现方式不尽相同：有的计算机在进行连接后，网卡和集线器/交换机上的指示灯均正常点亮；有的计算机却是网卡上的指示灯正常亮，而集线器/交换机端的指示灯闪烁，从而增加了排错的难度。所以这个错误一定要高度重视。

    通常，我们会看到双绞线的两种常用的连接方法：直通线缆和交叉线缆。下面分别介绍这两种线缆的引脚排序及适用场合。

1. 直通线缆：

    水晶头两端都是遵循568A或568B标准，双绞线的每组绕线是一一对应的。颜色相同的为一组绕线。直通线缆适用场合：

    交换机（或集线器）UPLINK口-------------交换机（或集线器）普通端口

 2. 交叉线缆：

    水晶头一端遵循568A，而另一端遵循568B标准。即两个水晶头的连线交叉连接，A水晶头的1，2对应B水晶头的3，6；而A水晶头的3，6对应B水晶头的1，2。颜色相同的为一组绕线。交叉线缆适用场合：

     交换机（或集线器）普通端口------------交换机（或集线器）普通端口

     计算机网卡（终端）-------------计算机网卡（终端）

（标准的交叉线缆）

    说明：如果两个集线器/交换机的物理距离较远，一般采用级联方式。需要注意的是：IEEE802.3u 100 BASE-TX CLASS II 类HUB 之间的级联长度不能超过 5米， 100M以太网中两个交换机的最大距离为 100米。如果已经使用了UPLINK口级联，它旁边的普通端口就不可以再用了。

    除了以上常用的两种连接方法，还有一种特殊的双绞线做法。此种方法应用于如下场合：

    交换机（或集线器）单个使用正常，但是一旦两个网络设备级联起来用，就出现两个网络设备之间的工作站不能相互访问的情况，尽管级联线是按照标准来做的。原因是由于交换机（或集线器）的PHY对UTP的信号定义与一般情况不一致引起的。下面这种特殊的双绞线做法一般可以解决这种问题。

    下图连线适用的级联方式是：

    交换机（或集线器）的UPLINK口------------交换机（或集线器）的普通端口 。

    注意：颜色相同的为一组绕线,两组绕线中的一组交叉，请仔细看下图，你是否可以看出和上面示意图的区别呢？

    我们下面讨论既让局域网电脑可以浏览网页又不让使用MSN的方法。

    这里的方法是利用路由器的“域名过滤”功能，把MSN登录时需要解析的MSN服务器的域名都过滤掉，这样用户电脑无法获得MSN服务器的IP地址，因而无法登录。

    通过在路由器里对如下MSN服务器的域名进行过滤，可以达到禁止MSN的目的。

    上面的设置要求路由器的防火墙功能是启用的，即在管理界面的“安全设置”->“防火墙设置”中保证“开启防火墙”和“开启域名过滤”都打上勾并保存，如下所示：

    当再登录的时候，就会提示“无法登录MSN messenger，可能是服务或INTERNET出了问题，请确保您连接到了Internet上”。

以上结果在MSN messenger 7.5 和MSN messenger 7.0英文版测试通过。 　

    QQ 客户端登录的时候使用的外网端口号有UDP端口号8000，TCP端口号80和443三个端口，一般来说不可能直接把80端口也屏蔽掉，除非您不想浏览网页。所以我们的处理思路中是使用域名过滤、IP过滤这两种技术结合起来。考虑到屏蔽8000和443端口对一般用户影响不大，我们就直接把它们屏蔽掉了，对于使用80端口的QQ服务器，只能通过在广域中地址栏中过滤QQ服务器IP地址的方法来屏蔽。

    这次我们测试的QQ版本有2004、2005两个版本，由于目前腾迅公司已经不允许2003版本QQ客户端的登录，所以实验中没有使用它。

    通过对QQ连接信息的查看，目前QQ能够登录的服务器的域名信息如下：

UDP登录服务器：

• sz.tencent.com
• sz2.tencent.com
• sz3.tencent.com
• sz4.tencent.com
• sz5.tencent.com
• sz6.tencent.com
• sz7.tencent.com
• sz8.tencent.com
• sz9.tencent.com

TCP登录服务器

• tcpconn.tencent.com
• tcpconn2.tencent.com
• tcpconn3.tencent.com
• tcpconn4.tencent.com
• tcpconn5.tencent.com
• tcpconn6.tencent.com

    所以我们在路由器作了如下限制：

图1防火墙设置

    确认防火墙、IP过滤、域名过滤都开启着。我们再看域名过滤的具体设置：

图2域名过滤设置

    通过上面的设置我们可以把所有和QQ有关的域名请求都予以过滤。

    我们再看看IP过滤的设置：

图3IP地址过滤设置

    上图3是“IP地址过滤”页面的抓图，前面两条先屏蔽了8000和443两个端口，剩下的80端口的服务器只能通过过滤服务器IP地址的方法屏蔽掉。下面的三条IP地址过滤规则的作用就是将发往219.133.38.29、219.133.38.30、219.133.38.232这三个 QQ服务器的数据包禁止掉了！那么这三个服务器的IP地址是怎样得来的呢？使用80端口的QQ服务器有多少呢？它们的IP地址又都是多少呢？后面会介绍如何查看QQ登录时使用的服务器IP地址。当我们发现了新的可以登录的服务器IP地址，需要自己再继续添加过滤条目。

    下面说明一下上图中这三个QQ服务器的地址是怎么得来的？

    我们按照图2中所示的方法使用“域名过滤”封锁掉一部分QQ服务器，接着如图3所示，在“IP地址过滤”页面最上面的两条规则中“禁用 443和8000端口”后，发现内网电脑还是可以登录QQ的，那说明连接的服务器使用的是80端口提供服务，网络管理员可以在QQ2005的“登录设置” 页面查看当前客户端登录的QQ服务器的IP地址，过程就这么简单。

    试验中找到的三个服务器的IP地址（219.133.38.29、219.133.38.30、219.133.38.232）都被封锁了，但是QQ2005又一次成功登录，于是继续打开QQ2005的“登录设置”页面如下图：

图4QQ登录设置界面

    从图4中可以看到，QQ2005又连接了新的服务器，IP地址是219.133.49.5 ，连接的是80端口，没有关系，把这个新发现的服务器IP地址也加入到“IP地址过滤”中去就可以了。就这样找到一个新的服务器IP地址，添加到“IP地址过滤”中把它禁止掉！

    有些用户会担心，“IP地址过滤”规则的可设定条目数是有限的，可设定条目数不够怎么办？不用担心，因为我司的宽带路由器“IP地址过滤” 条目在设置的时候，“局域网IP地址/广域网IP地址”这两个参数都是可以输入一段IP地址的，比如我们上面发现的四个服务器IP地址可以合并为下面的两个条目：

219.133.38.0-219.133.38.255

219.133.49.0-219.133.49.255

    或者还可以把上面的两段地址继续合并为下面更大的一段：

219.133.38.0-219.133.49.255

    通过这样设置IP地址段，足够将所有的使用80端口的QQ服务器IP地址囊括！需要做的只是下面的操作循环：使用QQ2005成功登录——>发现新的服务器IP地址——>设定“IP地址过滤”规则禁止，重复直到QQ客户端再也不能连接到服务器。

上面的操作已经可以屏蔽 QQ 登录，如果您发现在这样操作后出现了一些异常情况，请继续阅读下面的内容：

    当我们合并了QQ服务器IP地址并成段过滤掉以后，会不会把一些正常的不是QQ服务器的IP地址也封锁掉了？这个不用太担心，我们屏蔽的地址段和互联网可用的地址段相比来说，只属于非常小的一段，发生这种情况的可能性极小，如果万一真的发生了“需要连接的目的IP地址也被封锁”这种情况，可以简单把我们上面限制的地址段拆分成多段，不包括我们需要访问的IP地址就可以了。

    我们在上面的指导中默认是把所有的443端口的数据包都禁止掉了，也就是不论连接那个服务器，只要目的端口是 443端口一概禁止。如果您需要一些443端口的访问，可以在屏蔽443端口条目的“广域网IP地址”这一栏，加入IP地址段限制，如 219.133.38.0-219.133.49.255试试，或者采用分段的方法，将自己需要连接的那个IP地址不包括即可。

    补充：因为MSN运行过程也会使用到443端口，所以对443端口的封锁会导致MSN不能正常使用，如果对内网的上网权限QQ和MSN要区别开来的话，在上面的配置过程当中可以不封锁443端口，同样可以对QQ有效封锁。
上面的配置是结合“端口”、“域名”和“服务器IP”综合封锁，还有一种简单的思路就是“将发往QQ服务器IP的数据包全部封锁”，这样同样可以封锁QQ ，配置思路比较简单。

如果您还有什么问题，请通过如下联系方式联系我们：
Email：fae@tp-link.com.cn
电话：0755-26617951 / 26502015

    接触过宽带路由器的用户，大抵都了解宽带路由器上的端口有WAN口和LAN口之分。宽带路由器在工作过程中有这样一个特点：从LAN到WAN方向上的数据流默认不受限制通过路由器，从WAN到LAN方向上默认不能通过。（注：无线宽带路由器的无线接入部分从属于LAN的范围）也就是说，默认情况从局域网内电脑上发出的数据包进入路由器的LAN口，可以顺利通过路由器从WAN口被发出，但是从WAN 这一端主动过来的数据包进入WAN口以后，路由器默认是不让那些数据包通过的。

    本文档主要描述当局域网内有多台宽带路由器的时候，能够怎样配置参数来实现我们的目的？

    第一步：假设您有一条ADSL宽带线，经过TL-R460宽带路由器实现了四台电脑共享上网，网络连接示意如下：

宽带线〈—〉ADSL MODEM〈—〉（WAN口）R460（LAN口）〈—〉电脑A

    第二步：由于某些原因，您购买了TL-WR541G无线宽带路由器，想要网络能够提供无线接入功能，这时候必定是从R460的LAN口引出一根网线连接WR541G，那么应该连接WR541G的WAN口呢？还是连结WR541G的LAN口？网络连接示意有如下两种：

R460（LAN口）〈—〉（WAN口）WR541G（无线）〈—〉电脑B

R460（LAN口）〈—〉（LAN口）WR541G（无线）〈—〉电脑B

    上面这两种连结都可以，经过参数配置电脑B都可以最终经过R460上网。

    接下来我们就上面两种连结WR541G的方式，配置WR541G和电脑B，最终使电脑B实现无线上网。这里假设R460的LAN口采用默认的IP地址192.168.1.1 。

1）R460（LAN口）〈—〉（WAN口）WR541G（无线）〈—〉电脑B

这种连接方式下需要给WR541的WAN口配置如下参数就可以了：

IP地址192.168.1.X (X取自然数范围2—254)

子网掩码255.255.255.0

默认网关192.168.1.1

    为什么是上面这样的参数呢？因为对于WR541G 来说R460的LAN口IP地址就是它的默认网关地址！

    但是在配置WAN口之前，需要先更改WR541G的LAN口的IP地址，因为WR541G的LAN口默认IP地址默认也是192.168.1.1 要避免冲突。更改过程如下：

    首先将电脑的IP地址配置为192.168.1.X （X取自然数范围2—254），通过http://192.168.1.1进入WR541G的管理界面，在“网络参数”-“LAN口设置”里面，将LAN口IP地址改为 172.16.1.1 ，保存提示重启。

    接下来再将电脑的IP地址修改为172.16.1.X （X取自然数范围2—254），如下图所示：

    再次通过http://172.16.1.1进入WR541G的管理界面，就可以配置WAN口了。上面这幅图片中DNS服务器地址应该填多少呢？看TL-R460“运行状态”或者向您的宽带服务商索取。

    2）R460（LAN口）〈—〉（LAN口）WR541G（无线）〈—〉电脑B

    这种连接方式因为没有使用WR541G的WAN口所以也就没有必要配置WAN口了，只需要配置如下部分：

    首先，需要关闭WR541G的DHCP服务器功能（选择“不启用”即可）。

    其次，更改一下WR541G的LAN口IP地址，比如改为 192.168.1.254 只要和别的已经使用的IP地址不冲突就可以了。

    接下来就是通过无线/有线方式连接WR541G的电脑的TCP/IP属性参数怎样配置？上面两步配置完以后，WR541G就相当于一台“无线交换机”，所以连接在WR541G上面的电脑它们的TCP/IP属性要和R460保持一致！就相当于这些电脑是连接在R460下面的！如下图所示：图片中DDNS参数仍然是看TL-R460“运行状态”或者向您的宽带服务商索取。